Update Datenschutz 22-08

Update Datenschutz 22-08

Im Urlaub dachte ich eigentlich, dass das Update hier ein wenig kürzer ausfällt. Nichts da. Es ist doch ein wenig was passiert seit dem letzten Update. Und da der Urlaub nun auch vorbei ist, kann ich auch etwas mehr schreiben.

Abmahnungen wegen Google Webfonts gehen in eine neue Runde

In früheren Updates hatten wir schon über erste Abmahnungen wegen des rechtswidrigen Einsatzes von Google Webfonts (Update 22-06) und das Urteil des LG München (LG München, Urteil vom 19.01.2022, Az. 3 O 17493/20) berichtet.

Die Abmahnungen gehen offenbar in eine neue Runde. Es gibt mehrere Abmahner mit unterschiedlichen Forderungen. Die ersten Abmahner:innen wollten „lediglich“ 100,00 EUR Schadensersatz. Aktuell liegen uns Schreiben vor, bei denen die Abmahner:innen bis zu 300,00 EUR verlangen. Andere Abmahner wollen zwar keinen Schadensersatz, aber die Abgabe einer Unterlassungserklärung. Letzteres ist wesentlich gefährlicher als nur die Forderung nach Schadensersatz. Bei der Abgabe einer Unterlassungserklärung verpflichtet man sich in der Regel zur Zahlung einer Vertragsstrafe für den Fall einer Zuwiderhandlung. Diese fällt – je nachdem, wozu man sich verpflichtet hat – nicht klein aus. Jetzt darf man – auch wenn ich diesen Begriff wirklich nicht mag – von einer Abmahnwelle sprechen.

Bisher keine Klagen

Bisher ist mir nicht bekannt, dass einer der Abmahner:innen vor Gericht gezogen ist, auch wenn in einzelnen Schreiben der Ton rauer wird. Bei Nichtzahlung oder der Weigerung zur Abgabe einer Unterlassungsverpflichtungserklärung wird in einigen Fällen mit einer Klage gedroht. Ich halte das Risiko aktuell noch für eher klein. Einerseits – da müssen wir ehrlich sein – muss man bei einem Streitwert von 100–300 EUR erst mal einen Anwalt finden, der das Ganze vor Gericht bringt. Der Streitwert ist nämlich so gering, dass die Gebühren – die der Anwalt bekommt – den Aufwand kaum wert sein dürften. Das ist aber nur eine Vermutung. Und die Sache kann bei Abmahnungen mit Unterlassungsforderung schon anders aussehen. Hier ist der Streitwert in der Regel höher.

Sollte es vor Gericht gehen, muss der/die Abmahner:in die Verstöße beweisen. Das ist ebenfalls eine Hürde, die man nehmen muss. Die Beweissicherung muss hier nachvollziehbar erfolgen.

Bei der Fülle der Abmahnungen spricht letztlich einiges dafür, dass das Ganze rechtsmissbräuchlich ist. Bei entsprechenden Ansatzpunkten könnte man sogar von einer strafbaren Handlung ausgehen.

Bisher keine klare Rechtsprechung

Das alles sind Ansatzpunkte, strategische Überlegungen und Vermutungen – Rechtsprechung liegt bisher nicht vor. Wohin das Ganze führt, wissen wir also auch noch nicht. Die Entscheidung, ob ihr im Falle einer Abmahnung zahlen und/oder eine Unterlassungsverpflichtungserklärung abgeben solltet oder nicht, können wir euch nicht abnehmen. Aktuell halten wir die Chancen, dass die Abmahnung im Sande verläuft für gut.

Wenn ihr oder einer eurer Kunden eine Abmahnung bekommt, meldet euch. Wir schauen uns das Ganze dann an und helfen beim weiteren Vorgehen.

Solltet ihr es noch immer nicht getan haben, bindet eure Google Fonts lokal auf eure Server ein. Damit geht ihr dem Ganzen aus dem Weg.

Das Thema hat es übrigens jetzt auch in eine Pressemitteilung des TLFDI geschafft: Pressemitteilung vom 18.08.2022

Immer mehr Rechtsprechung zum Thema Schadensersatz

Auch wenn zur aktuellen Abmahnwelle noch keine Urteile gibt, müssen sich mehr und mehr Gerichte mit dem Thema Schadensersatz auseinandersetzen. Das Bundesarbeitsgericht entschied dabei jüngst, dass etwa Schadensersatz in Höhe von 1.000 EUR für eine verspätete Auskunft nach Art. 15 DSGVO des Arbeitgebers angemessen ist (BAG, Urt. v. 05.05.2022 – Az.: 2 AZR 363/21) https://tinyurl.com/2t2n4u4t. Hier gab es auch schon höhere Beträge.

Das OLG Köln entschied demgegenüber, dass für eine verspätete Auskunft Schadensersatz iHv lediglich 500,– EUR (OLG Köln, Urt. v. 14.07.2022 – Az.: 15 U 137/21) angemessen ist.

Urteile zum Schadensersatz sind immer Einzelfallentscheidungen und abhängig von den konkreten Umständen. Je mehr Urteile es gibt, desto besser lässt sich aber abschätzen, wo die Reise hingehen kann. Unterschiede in der Höhe zeigen sich nach unserer Meinung zwischen Zivilgerichten und den traditionell arbeitnehmerfreundlichen Arbeitsgerichten. Die Arbeitsgerichte scheinen hier gerne mal etwas mehr Schadensersatz zuzusprechen als die normalen Zivilgerichte.

Kein Anspruch aus DSGVO bei Rechtsmissbrauch

Auskunft und auch Schadensersatz sind zwei mächtige Ansprüche, die Betroffene gegenüber Verantwortlichen geltend machen können. Einen Auskunftsanspruch kann grundsätzlich jeder ohne Weiteres geltend machen. Beim Auskunftspflichtigen kann der zu enormen Aufwendungen führen. Nicht besser sieht es beim Schadensersatz aus. Auch hier können Betroffene recht schnell Ärger verursachen. Dass die Ansprüche ihre Berechtigung haben, steht außer Frage. Dennoch gibt es hier ein gewisses Missbrauchspotential. Gerade bei beendeten Arbeitsverhältnissen hat man häufig das Gefühl, dass ehemalige Arbeitnehmer den ehemaligen Arbeitgeber mit Auskunftsansprüchen gängeln wollen. Die massenhaften Abmahnungen wegen fehlerhafter Google–Webfonts legen ebenfalls nahe, dass hier vielleicht eher monetäre Absichten im Vordergrund stehen als der „Ausgleich“ eines wirklich erlittenen Schadens in Form einer Persönlichkeitsverletzung. Mehr und mehr Gerichte nehmen diese Einwände ernst. Wenn aber tatsächlich andere Gründe im Vordergrund stehen als die Ansprüche der DSGVO, kann das rechtsmissbräuchlich sein. Wenn es mir also zum Beispiel gar nicht darum geht zu erfahren, welche Daten mein Arbeitgeber über mich gespeichert hat, sondern nur darum, bei meinem (ehemaligen) Arbeitgeber Aufwand zu erzeugen, kann das zum Missbrauch der Ansprüche führen. Die Ansprüche sind dann regelmäßig ausgeschlossen. Der Einwand des Rechtsmissbrauchs taucht in immer mehr Verfahren auf und wird durch die Gerichte mittlerweile auch ernst genommen.

Mehr Gerichte sehen Rechtsmissbrauch

Das Amtsgericht Pforzheim etwa lehnte einen DSGVO–Auskunftsanspruch nach Art. 15 DSGVO ab, wenn es dem Auskunftsersuchenden nur darum geht, den Auskunftspflichten zu schikanieren (AG Pforzheim, Urt. v. 05.08.2022 – Az.: 4 C 1845/21 – kostenpflichtiger Link zu BeckRS). Das Landgericht Würzburg (LG Würzburg, Urt. v. 20.07.2022 – Az.: 91 O 537/22) lehnte ebenfalls eine Klage auf Auskunft ab. In diesem Verfahren wollte ein Versicherungsnehmer mögliche Zahlungsansprüche gegen seine Versicherung prüfen. Dafür begehrte er zunächst Auskunft über die gespeicherten Daten. Das Landgericht sah darin Rechtsmissbrauch, weil es nicht um die Auskunft an sich ging, sondern eigentlichen darum Zahlungsansprüche gegen den Versicherer geltend zu machen. Da die Thematik aber umstritten ist, wollen die Erfurter Richter das jetzt von ganz oben klären lassen. Das Landgericht Erfurt beabsichtigt eine Vorlageanfrage an den EuGH zu stellen. Dieser soll die Frage beantworten, ob der DSGVO–Auskunftsanspruch nach Art. 15 DSGVO ausgeschlossen ist, wenn sachfremde Ziele verfolgt werden (LG Erfurt, Beschluss vom 07.07.2022 – Az.: 8 O 1280/21). In dem Verfahren ging es ebenfalls um einen Versicherten gegen seinen Versicherer.

Kein Selbstläufer

Das Thema Rechtsmissbrauch ist ein scharfes Schwert zur Abwehr von Ansprüchen aus der DSGVO oder auch sonst. Ein Selbstläufer ist das Thema allerdings nicht. Hier muss man schon einiges vortragen, damit der Einwand auch wirklich Gehör findet, sofern er nicht offensichtlich ist. Gleichwohl solltet ihr den Einwand im Auge behalten, wenn euch jemand in Anspruch nehmen will.

Offene E–Mail–Verteiler

Ein Evergreen – weil, wenn wir ehrlich sind, das jedem passieren kann – sind im Datenschutz offene E–Mail–Verteiler. Hier war die spanische Datenschutzbehörde nun der Auffassung, dass ein Bußgeld von 500,00 EUR für einen solchen Verstoß angemessen ist. Wie schon oft betont: Entscheidungen der Datenschutzbehörden sind nicht das letzte Wort. Schon gar nicht, wenn diese von Behörden aus anderen Ländern getroffen werden. Dennoch sollte man hier auch die anderen Länder im Auge behalten. Die DSGVO ist schließlich kein deutsches, sondern ein europäisches Produkt.

Normalerweise käme hier mein schlauer Hinweis, dass man offene Verteiler verhindern sollte. Da das aber schneller passiert als einem lieb sein kann, haben wir einen Tipp! Wenn ihr E–Mails an mehrere Empfänger schickt und dieser Verteiler geheim bleiben soll oder sogar muss, nutzt das 4–Augen–Prinzip. Das heißt: vor dem Versenden schaut ein weiterer Mitarbeiter noch mal darüber, ob der Verteiler wirklich nicht offen ist.

Haftung des Geschäftsführers für unzureichendes Datenschutzmanagement–System?

Eine spannende Entscheidung gibt es zum Schluss noch vom OLG Nürnberg (Urteil vom 30.03.2022, Az.: 12 U 1520/19). In dem Fall wurde der Geschäftsführer einer GmbH zur Zahlung von Schadensersatz nach § 43 GmbHG gegenüber der GmbH verurteilt. Da ging es zwar nicht um Datenschutz, sondern um den Missbrauch von Tankkarten die Grundsätze sind aber übertragbar und könnten genauso beim Thema Datenschutz einschlagen.

Konkret hat das OLG hat eine Pflichtverletzung des Geschäftsführers in der fehlenden Schaffung von Compliance-Strukturen gesehen. Solche Strukturen sollen nämlich ein rechtmäßiges und effektives Handeln gewährleisten und „die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter – auch mittels Überwachungs- und Kontrollmaßnahmen – verhindern.“ Konkret ging es darum, dass der Geschäftsführer kein 4-Augen-Prinzip geschaffen hat, um etwaigen Missbrauch – hier bei der Vergabe und dem Einsatz von Tankkarten – zu verhindern. Dabei hatte er selbst dieses Prinzip als erforderlich angesehen. Der Geschäftsführer hat also mehr oder weniger sehenden Auges die erforderliche Sorgfalt außer Acht gelassen.

Haftung des Geschäftsführer

Natürlich haftet ein Geschäftsführer nicht für jede Fehlentscheidung:

„Wie ein Gesellschafter bei Handelsgeschäften im Außenverhältnis (§ 347 HGB) muss sich auch der Geschäftsführer einer GmbH (§ 43 Abs. 1 GmbHG) wie auch der Vorstand einer AG (§ 93 Abs. 1 Satz 1 AktG) an der‚ Sorgfalt eines ordentlichen Geschäftsmanns‘ messen lassen.

[…]

Der Maßstab des § 43 Abs. 1 GmbHG ist dabei (wie auch § 276 Abs. 2 BGB) objektiv; unerheblich sind daher persönliche Merkmale des Geschäftsführers (Alter, Unerfahrenheit, Unkenntnis) und dessen konkrete Belastungssituation (Beurskens in: Noack/Servatius/Haas, GmbHG, 23. Aufl., § 43 Rn. 8, 9).

[…]

Geschäftsführung impliziert riskante und ggf. nachteilige Entscheidungen. Um damit verbundene unangemessene Fehlurteile zu vermeiden, genügt ein eingetretener Verlust als solcher selbst bei riskantem Verhalten nicht, um einen Verstoß gegen § 43 Abs. 1 GmbHG zu begründen. Vielmehr ist dem Geschäftsführer (außerhalb zwingender Verhaltensvorgaben) ein weitreichender Beurteilungsspielraum zuzubilligen, der für jegliche unternehmerische Tätigkeit denknotwendig ist.“

Eingeschränkter Spielraum

Soweit so gut. Aber jetzt schränkt das OLG den Spielraum doch ein:

Nach der Rechtsprechung ist der von der „business judgement rule“ eingeräumte Handlungsspielraum dann überschritten, wenn aus der Sicht eines ordentlichen und gewissenhaften Geschäftsmanns das hohe Risiko eines Schadens unabweisbar ist und keine vernünftigen geschäftlichen Gründe dafür sprechen, es dennoch einzugehen.

So ist eine Pflichtverletzung insbesondere dann gegeben, wenn das Handeln gegen die in der jeweiligen Branche anerkannten Erkenntnisse und Erfahrungsgrundsätze verstößt.

Die Sorgfalt eines ordentlichen Geschäftsführers gebietet hierbei – gerade, wenn der Geschäftsführer nicht sämtliche Maßnahmen selbst beschließt und selbst durchführt – eine interne Organisationsstruktur in der Gesellschaft zu schaffen. 

Zur Überwachungspflicht gehört außerdem eine hinreichende Kontrolle, die nicht erst dann einsetzen darf, wenn Missstände entdeckt worden sind. Ihre Intensität darf sich je nach Gefahrgeneigtheit der Arbeit und Gewicht der zu beachtenden Vorschriften nicht in gelegentlichen Überprüfungen erschöpfen. Über diese allgemeine Kontrolle hinaus muss der Geschäftsführer die Aufsicht so führen, dass Unregelmäßigkeiten auch ohne ständige unmittelbare Überwachung grundsätzlich unterbleiben. 

Eine gesteigerte Überwachungspflicht, bei der intensivere Aufsichtsmaßnahmen notwendig sind, besteht, wenn in einem Unternehmen in der Vergangenheit bereits Unregelmäßigkeiten vorgekommen sind (Fleischer a. a. O. Rn. 140 m.w.N.).

Delegiert der Geschäftsführer seine Überwachungsaufgabe, reduziert sich die effektive Überwachungspflicht des Geschäftsführers auf die ihm unmittelbar unterstellten Mitarbeiter und deren Führungs- und Überwachungsverhalten („Überwachung der Überwacher“). Man spricht insoweit von einer Meta-Überwachung. Ausdrücklich angesprochen wird diese mehrstufige Verteilung der Aufsichtspflichten in § 130 Abs. 1 Satz 2 OWiG, wonach zu den erforderlichen Aufsichtsmaßnahmen auch die Bestellung, sorgfältige Auswahl und Überwachung von Aufsichtspersonen gehören. Auch bei mehrstufiger Verteilung der Aufsichtspflichten verbleibt die sog. Oberaufsicht aber unentrinnbar bei dem Geschäftsführer. Zu diesen unübertragbaren Kernpflichten gehört insbesondere die Organisations- und Systemverantwortung für die unternehmensinternen Delegationsprozesse (Fleischer a. a. O. Rn. 141 m.w.N.).“

Konsequenz

Das OLG folgert daraus konsequent:

„Eine Pflichtverletzung des Beklagten ist bereits deshalb gegeben, weil dieser es unterlassen hat, im Rahmen der internen Unternehmensorganisation der Klägerin Compliance-Strukturen zu schaffen, die ein rechtmäßiges und effektives Handeln gewährleisten und die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter – auch mittels Überwachungs- und Kontrollmaßnahmen – verhindern.“

Jetzt könnt ihr euch fragen, was das mit „Datenschutz“ zu tun hat, schließlich ging es hier um Tankkarten? Machen wir es kurz: Die DSGVO sieht Schadensersatz und Bußgelder vor (Art. 83 DSGVO). Gerade die Bußgelder können – und sollen nach Willen des Gesetzgebers – schmerzhafte Dimensionen erreichen. Damit können Datenschutzverstöße ein hohes Risiko für die GmbH darstellen. Die Risiken können je nach Geschäftsgegenstand unterschiedlich hoch ausfallen. Sofern der Geschäftsführer nicht alles selbst kontrolliert, kommt man also um ein „Compliance-Management“ im Datenschutz nicht herum. Das muss nicht gleich ein Managementsystem auch nach ISO 27001 & ISO 27701 sein. Es geht auch kleiner. Aber Gedanken sollte man sich schon machen.

Und sonst so?

Natürlich gibt es noch viel mehr zu berichten. Diese Themen sind dann aber schon speziell. Vorenthalten will ich sie euch trotzdem nicht:

Der Bundesfinanzhof hat entschieden, dass für die Geltendmachung von DSGVO–Schadensersatzansprüchen gegenüber Finanzbehörden der Finanzrechtsweg gegeben ist (BFH, Beschl. v. 28.06.2022 – Az.: II B 92/21).

Nach Auffassung des Verwaltungsgerichts Bremen, können auch unvollständige Auskünfte den Anspruch nach Art. 15 DSGVO erfüllen (VG Bremen, Urt. v. 22.06.2022 – Az.: 4 K 1/21). Die Verantwortliche hatte hier in einer Auskunft vergessen auf das Beschwerderecht, das Recht zur Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie auf die automatisierte Entscheidungsfindung / Profiling hinzuweisen. Der Fall ist sehr speziell, nicht zuletzt, weil hier eine Behörde als Beklagte involviert war, sondern auch weil der Betroffene die Rechte bereits kannte. Links zur Entscheidung sind derzeit leider nur kostenpflichtig abrufbar.

Aufgrund mehrerer Beschwerden wegen nicht ausreichender Datenschutz–Dokumente prüfen derzeit mehrere Datenschutzbehörden koordiniert die Auftragsverarbeitungsverträge bei Webhostern. An der Überprüfung nehmen Bayern, Berlin, Niedersachsen, Rheinland–Pfalz, Sachsen und Sachsen–Anhalt teil: Link zur Pressemitteilung der Datenschutzbehörde Berlin.

Gleichzeitig veröffentlichen die Aufsichtsbehörden eine Checkliste für die Prüfung von Auftragsverarbeitungsverträgen der Webhoster. Die Liste gibt es hier: LINK.

Eigentlich ist das primär kein Thema der DSGVO. Die Frage taucht aber öfter bei uns auf. Daher möchte ich es euch nicht vorenthalten. Die Bundesnetzagentur hat ihre neuen Auslegungshilfen zu § 7a UWG veröffentlicht. § 7a UWG regelt die Einwilligungen in Telefon–Werbung und deren Dokumentation. Download: Auslegungshilfe

Nichts mehr verpassen!

Du willst auf dem Laufenden bleiben? Dann melde dich jetzt zu unserem Newsletter an. Wir informieren dich ein bis zweimal pro Monat über neue Trends, Urteile, Entscheidungen, Ratgeber und unsere Produkte und Dienstleistungen im IT-Recht.
Die Einwilligung in den Versand freiwillig. Du kannst die Einwilligung jederzeit widerrufen. Hierzu genügt eine einfache Nachricht an uns (zum Beispiel per E-Mail an redaktion@staemmler.pro oder an die im Impressum angegebenen Kontaktdaten oder wie auch immer du willst). Der Newsletter-Versand erfolgt entsprechend unserer Datenschutzbestimmungen.

Eine Idee zu “Update Datenschutz 22-08

  1. Pingback: Abmahnungen wegen Google Webfonts -

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert